Новый модуль ботсети Rmnet отключает Microsoft Security Essential

Компания «Доктор Веб» обнаружила два новых модуля ботсети Rmnet. Основной вредоносный функционал первоначального варианта ботсети встраивал в просматриваемые веб-страницы посторонний контент, перенаправлял пользователя на указанные злоумышленниками сайты, а также передавал на удаленные узлы содержимое заполняемых жертвой форм. 

Новые модули выполняют другие задачи. Первый из них предназначен для детектирования на инфицированном компьютере виртуальных машин, а второй – эмулирует действия пользователей (а именно нажатия на соответствующие значки мышью) и отключает на инфицированной машине антивирусы Microsoft Security Essential, Norton Antivisus, Eset NOD32, Avast, Bitdefender и AVG.

Если пользователь становится жертвой вируса, относящегося к одной из подсетей Rmnet, то на его компьютер загружается семь вредоносных модулей:

• новый модуль, позволяющий отключать антивирусные программы;
• модуль для кражи файлов cookies;
• локальный FTP-сервер;
• модуль для выполнения веб-инжектов;
• модуль для кражи паролей от FTP-клиентов;
• новый модуль, позволяющий детектировать наличие виртуальных машин;
• модуль для организации удаленного доступа к инфицированной системе.

Файловые вирусы семейства Rmnet также содержат такие базовые компоненты, как компонент для загрузки других модулей, модуль бэкдора и модуль для удаления антивирусных программ.